Novedades de la propuesta de Reglamento UE de Protección de Datos

Durante este mes de junio nuestro despacho ha organizado un ciclo de desayunos de trabajo en los que RAMÓN MIRALLES, Coordinador de Auditoría y Seguridad de la Información en la Autoridad Catalana de Protección de Datos, ha expuesto las principales novedades de la propuesta de Reglamento UE de Protección de Datos tras las últimas enmiendas aprobadas y ha anticipado los puntos que probablemente formarán parte de la nueva norma.

Agradecemos a Ramón Miralles su participación como ponente en este ciclo de reuniones de trabajo y sus aportaciones en el posterior debate, que ha sido muy enriquecedor para los asistentes.

En este documento se resumen los principales puntos de su ponencia:

Novedades del Reglamento UE sobre Protección de Datos

 

¿Por qué se declaran tan pocas transferencias internacionales de datos?

En la jornada sobre cloud computing que la Agencia Española de Protección de Datos (AEPD) organizó en enero de 2012 se llegó a la conclusión de que la computación en la nube había generado un cambio de paradigma en las subcontrataciones y en las transferencias internacionales de datos.

Este cambio de paradigma fue analizado posteriormente en este blog para comprobar cómo estaba actuando la oferta y la demanda en materia de subcontrataciones y transferencias internacionales.

En esta ocasión me gustaría analizar si este cambio de paradigma se ha manifestado en la tipología de las transferencias internacionales que fueron autorizadas por el Director de la AEPD durante 2012 y si la globalización y el abaratamiento de los servicios de hosting, unido a la aparición de nuevas categorías de servicios, está provocando una menor identificación de los supuestos en los que se produce una transferencia internacional de datos.

En relación a la primera cuestión, es fácil comprobar que las transferencias internacionales de datos autorizadas por el Director de la AEPD en 2012 se distribuyen en dos grandes tipologías:

- 122 transferencias internacionales realizadas en el marco de un contrato de prestación de servicios de encargado de tratamiento (call center, gestión de aplicaciones, gestión de bases de datos).

- 53 transferencias internacionales relativas a la gestión centralizada de datos de RRHH o de clientes en la sede central de una empresa multinacional.

En ninguna de ellas se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores que ofrecen servicios de hosting como prestación principal, es decir, como prestación no complementaria a los servicios de call center o gestión de bases de datos.

Tampoco se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores de cloud computing, en su modalidad de nube pública, ni a las principales redes sociales.

De este análisis rápido, basado exclusivamente en las transferencias internacionales autorizadas por el Director de la AEPD en 2012, extraigo las siguientes conclusiones:

  1. Sigue pareciéndome bajo el número de empresas que identifican y declaran como transferencia internacional los servicios contratados a proveedores que tratan datos en países con un nivel de protección no equiparable al de la UE. Según la Memoria de la AEPD de 2011, sólo se han autorizado 735 transferencias internacionales en total en 12 años, incluyendo las transferencias a la sede central de multinacionales.
  2. No parece que exista una práctica generalizada de declarar como transferencia internacional los servicios de cloud computing en los que los datos son almacenados en países de protección no equiparable.
  3. Lo mismo sucede con la contratación de servicios de mero hosting de datos.
  4. Lo mismo sucede con el tratamiento de datos realizado por las empresas en las redes sociales.

Estas conclusiones me llevan a plantear si se están dando en el mercado circunstancias que dificultan la identificación de los supuestos en los que se produce una transferencia internacional de datos que exigiría la autorización del Director de la AEPD.

Todo parece indicar que efectivamente se está produciendo una progresiva pérdida de control por parte del responsable del fichero sobre los distintos encargados y subencargados del tratamiento que acceden a sus ficheros. Por otro lado, hay nuevos servicios en los que cuesta más identificar dónde están los datos a lo largo del ciclo de vida de la relación con el proveedor.

Agrupando estas nuevas circunstancias con las que ya pueden considerarse clásicas, podríamos enumerar las principales razones por las que no llegan al Director de la AEPD todas las transferencias internacionales que se están produciendo:

  1. Tratamiento realizado aparentemente en la UE o en país con protección equiparable
  2. Consentimiento del usuario final a través de los términos y condiciones del servicio
  3. Desconocimiento de la obligación por parte del responsable del fichero
  4. Falta de identificación de la transferencia internacional en ciertos servicios
  5. Imposibilidad de controlar la ubicación de los datos en ciertos servicios
  6. Aplicación de técnicas de cifrado, ofuscación y fragmentación de datos
  7. Dificultad para controlar las subcontrataciones en materia de hosting

Además de estas razones, estamos asistiendo a un proceso de transformación de la manera en que vemos la información y su almacenamiento. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación.

Por ello, es comprensible que cada vez sea más difícil, y a la vez irrelevante, saber dónde están realmente los datos.

Segmentación de “públicos personalizados” en Facebook y LOPD

Facebook ha lanzado “públicos personalizados“, una nueva herramienta de segmentación que permite a los anunciantes dirigir su publicidad a los usuarios de Facebook que tienen un perfil parecido al de los consumidores habituales de sus productos.

Hasta ahora, los anunciantes podían facilitar a Facebook datos identificativos de sus clientes, por ejemplo la dirección de correo electrónico, el teléfono o el identificador de usuario (UID), y Facebook mostraba los anuncios a los usuarios de Facebook que eran clientes del anunciante.

Esta función se extiende ahora a atributos demográficos y a intereses manifestados a través del botón “me gusta”, por ejemplo, de manera que los destinatarios de la publicidad serán también los usuarios de Facebook que tengan atributos iguales o similares a las personas que actualmente están comprando los productos del anunciante o que han manifestado su interés en hacerlo.

El funcionamiento de este sistema es el siguiente:

  1. Cuando un usuario se da de alta, Facebook cifra su dirección de correo electrónico y su teléfono y genera el hash de estos datos.
  2. Cuando el anunciante inicia el uso de la herramienta “públicos personalizados”, debe introducir la lista de direcciones de correo electrónico o de teléfonos de sus clientes en el editor múltiple de Facebook.
  3. Según el manual, la lista se cifra antes de enviarla a Facebook.
  4. Facebook compara el hash del correo electrónico de cada cliente del anunciante con el de los usuarios activos de Facebook y crea un público personalizado en la cuenta del anunciante con todos aquellos usuarios cuyo hash coincide con el de la lista del anunciante.
  5. Al crear una campaña, el anunciante puede decidir si dirige sus anuncios solamente a los usuarios activos de Facebook que son sus clientes o también a los usuarios que tienen un perfil de intereses similar.

Riesgos jurídicos de este sistema

El potencial de esta herramienta es innegagle y por ello, el análisis jurídico de su funcionamiento se ha hecho desde una óptica posibilista. Nos obstante, se han detectado una serie de riesgos que merecen una especial atención.

  1. Facebook explica que los “publicos personalizados” pueden ser creados utilizando datos de clientes actuales, clientes potenciales, miembros del club de fidelización, usuarios actuales o antiguos y de cualquier persona a la que el anunciante desee hacer llegar mensajes de segmentación precisa. Es posible, por lo tanto, que las direcciones de correo electrónico introducidas en el editor múltiple de Facebook no correspondan a clientes del anunciante ni a personas que hayan dado su consentimiento para recibir publicidad del anunciante.
  2. Facebook asegura que cifra los datos personales facilitados por el anunciante y que la comparación con los datos de los usuarios activos sólo se realiza a nivel de hash. Dado que la introducción de datos en el editor múltiple se realiza en el servidor de Facebook, la Agencia Española de Protección de Datos (AEPD) podría considerar que se ha producido una cesión de los datos y una posterior disociación. El acceso previo, y el control del proceso de disociación por parte de Facebook podría hacer pensar a la AEPD que esta disociación no es irreversible, a pesar de que Facebook declare que lo es.
  3. También podría entenderse aplicable a este proceso el artículo 47 del Reglamento de la LOPD, que establece que cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción o comercialización de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos, el tratamiento así realizado constituirá una cesión o comunicación de datos.

Con el fin de evitar estos riesgos, Facebook exige al anunciante que, al realizar la introducción de los datos, acepte unas condiciones especiales para la creación y administración de “públicos personalizados”, entre las que destacan las siguientes:

  1. El anunciante ha informado y ha obtenido el consentimiento necesario de las personas a las que los datos corresponden.
  2. En el caso de que los datos no provengan directamente de ellos, el anunciante debe declarar que tiene los derechos y autorizaciones necesarias para utilizar los datos.
  3. Los datos no pertenecen a personas que han manifestado el deseo de no recibir publicidad.
  4. La información generada para identificar correspondencias con usuarios activos de Facebook no será compartida por ésta con otros anunciantes y será destruida inmediatamente después de realizar el análisis comparativo.
  5. Facebook aplicará medidas de seguridad y confiencialidad sobre los “públicos personalizados” creados por el anunciante.
  6. Si una agencia crea y administra “públicos personalizados” por cuenta de un anunciante, la agencia deberá estar habilitada para utilizar los datos (contrato de encargado del tratamiento) y para vincular al anunciante en la aceptación de las condiciones aceptadas en su nombre.

Más allá de la interpretación estricta de la figura de la depuración de datos contenida en el artículo 47 del Reglamento de la LOPD, pueden identificarse en este proceso elementos característicos de un encargo de tratamiento. Si analizado el caso ello fuese así, y Facebook pudiese ser considerado como un encargado del tratamiento del anunciante, cuya función consiste en mostrar anuncios a los usuarios que cumplan determinados criterios de segmentación establecidos por el anunciante, este proceso no exigiría consentimiento del usuario. La cesión inicial podría quedar amparada con el contrato de encargado de tratamiento, salvo en el caso de que efectivamente se apreciase la existencia de un proceso de depuración de datos. La exhibición del anuncio estaría cubierta por el consentimiento dado por el usuario en el momento de aceptar los términos y condiciones de uso de Facebook, en la que se advierte que la publicidad es la contrapartida a la gratuidad del servicio.

Recomendaciones

Dada la acumulación de leyes estatales, normas generales de la red social y normas específicas de cada modalidad de campaña, la principal recomendación es contar con asesoramiento jurídico especializado en marketing en redes sociales. Este asesoramiento deberá dirigirse a comprobar, en cada caso específico:

  1. Si es aplicable la figura del encargo de tratamiento.
  2. Si es aplicable la figura de la depuración de datos.
  3. Si se produce realmente una disociación irreversible.
  4. Si el anunciante necesita un consentimiento específico para ceder datos antes de iniciar una campaña basada en segmentación de “públicos personalizados”.

 

Derechos ARCO y derechos AR

La búsqueda de lo simple y sencillo a veces viene determinado por el espacio disponible. Un ejemplo de ello es el esfuerzo histórico que hemos tenido que hacer para cumplir la obligación de información al interesado, establecida en el artículo 5 de la LOPD, en un espacio reducido como un ticket, un cupón, un anuncio, la pantalla de un móvil o una locución telefónica. La falta de espacio puede llegar al extremo de que el texto no quepa por dos palabras.

Algunas empresas han decidido que estas dos palabras sean “cancelación” y “oposición”, es decir, la C y la O de los derechos ARCO.

Pero el argumento principal de esta supresión no ha sido la falta de espacio, sino lo que podríamos llamar una adecuada gestión de las expectativas del cliente, dado el carácter vinculante del texto informativo y la imposibilidad de atender las solicitudes de cancelación y oposición en determinados casos.

El artículo 5 de la LOPD establece, entre otras obligaciones,  que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Ello puede entenderse como una obligación de informar al interesado que le corresponden estos cuatro derechos, pero también como la obligación de informar sobre los derechos que podrá ejercitar.

Esta segunda interpretación cubriría los supuestos en los que el interesado no pueda ejercitar algún derecho, en su totalidad, referido a determinados datos, o durante un plazo de tiempo.

Por ello, algunas empresas han decidido no crear una falsa expectativa al interesado sobre un derecho que no podrán ejercitar, o al menos de forma plena. Por ejemplo, en el caso de los tickets de compra con tarjeta, algunos comercios han suprimido el derecho de cancelación, por entender que los datos recogidos son exclusivamente los referidos a la transacción, y deberán ser conservados por motivos fiscales y contables, así como para poder acreditar el cumplimiento de las obligaciones contractuales con el cliente y con el emisor de la tarjeta de crédito.

Otras empresas han optado por informar sobre todos los derechos existentes y aplazar para el momento de la solicitud de acceso, rectificación o cancelación, la decisión de atenderla o no.

Nuevas obligaciones en relación a las cookies

1. CAMBIO LEGISLATIVO

Tal como avanzamos en el post de 18 de noviembre de 2009, mañana entrará en vigor una modificación del artículo 22.2 de la Ley de servicios de la sociedad de la información y del comercio electrónico (LSSI) con el fin de adecuarlo a la nueva redacción dada por la Directiva 2009/136/CE a la Directiva 2002/58/CE.

La nueva redacción del artículo 22.2 exige el consentimiento del usuario sobre los archivos o programas informáticos que, como en el caso de las cookies, almacenan información en el equipo del usuario y permiten posteriormente acceder a ellas con distintas finalidades.

Como decíamos en el post de 12 de noviembre de 1997, estos dispositivos pueden facilitar la navegación por la red, pero también pueden desvelar aspectos de la esfera privada del usuario. Esta visión de las cookies, que entonces considerábamos exagerada, ha adquirido una nueva dimensión con el llamado behavioral marketing, o marketing del comportamiento y de las cookies flash o LSO.

2. NUEVO RÉGIMEN DE LAS COOKIES

1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (entre ellos las cookies) en los equipos de los destinatarios del servicio.

2. Previamente, los prestadores de servicios tendrán que haber facilitado información clara y completa sobre el uso de estos dispositivos.

3. Dicha información deberá incluir las finalidades del tratamiento de los datos obtenidos.

4. Una vez facilitada esta información, el usuario deberá dar su consentimiento.

5. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

6. Para que este procedimiento sea válido, el usuario deberá proceder a la configuración de estos parámetros, permitiendo la entrada de cookies, en el momento de la instalación o actualización del navegador mediante una acción expresa a tal efecto.

7. Este nuevo régimen no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.

8. Tampoco impedirá, en la medida que resulte estrictamente necesario, el posible almacenamiento o acceso para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

3. VÍAS PARA INFORMAR Y OBTENER EL CONSENTIMIENTO

1. Aviso legal

En mi opinión, sería desproporcionado exigir a los prestadores de servicios el cumplimiento de la obligación de información y la recogida del consentimiento mediante una ventana emergente o pop-up que con un texto informativo y un botón que el usuario debería aceptar. Ello sería alertar excesivamente al usuario, y podría tener un efecto disuasorio injustificado. Entiendo que resultará suficiente con incluir de forma destacada en el aviso legal del sitio web o en una sección específica para ello, la advertencia del uso de cookies, informando sobre las finalidades del tratamiento de los datos obtenidos.

El uso de un sitio web debe ser interpretado como un consentimiento para el tratamiento de los datos de los visitantes, dada la imposibilidad de obtener de forma individualmente el consentimiento de cada uno de ellos. Hasta ahora se ha considerado suficiente para el tratamiento de direcciones IP la información suministrada en el aviso legal o en la política de privacidad. Lo mismo debería suceder en el caso de las cookies, dado que el legislador habla de “facilitar” la información y no de entregarla con acuse de recibo, y no exige que el consentimiento sea expreso.

2. Configuración del navegador

En este caso el legislador sí exige una acción expresa, permitiendo la entrada de cookies en el equipo en el momento de la instalación o actualización del navegador. Ello significa que la configuración por defecto del navegador a partir de ahora debería impedir la entrada de cookies, y el usuario debería modificar dicha configuración de manera expresa para admitir cookies en el equipo.

3. Aceptación de CGC

El usuario también puede ser informado de las finalidades del uso de las cookies en las Condiciones Generales de Contratación del servicio solicitado, dando su consentimiento para su uso al hacer clic en el botón de aceptación.

En cualquier caso, recomendamos una revisión, caso por caso, del alcance y las finalidades en el uso de cookies y del protocolo de información y aceptación de las mismas, por parte de un experto en la materia.

Descifrando el interés legítimo

Presentación divulgativa para no expertos en la que se analizan los efectos de la sentencia del Tribunal Supremo que anula el artículo 10.2.b del Reglamento de la LOPD y se dan algunas pistas para descifrar el concepto de interés legítimo exigido en la LOPD y en la Directiva.

El análisis se refiere a una fase anterior al tratamiento, por lo que no se hace referencia a la obligación de informar al interesado, entre otros extremos, sobre la incorporación de sus datos a un fichero con el fin de que pueda ejercitar los derecho de acceso, rectificación, cancelación y oposición.

Para mejorar la visualización se puede seleccionar la resolución 720 (HD) haciendo clic en el engranaje del vídeo.

El Tribunal Supremo anula el artículo 10.2.b del Reglamento de la LOPD

El Tribunal Supremo ha dictado sentencia anulando el artículo 10.2.b del Real Decreto 1720/2007 de desarrollo de la LOPD, por ser contrario al derecho comunitario.

Dicho artículo exigía que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpliese el requisito adicional de que dichos datos figurasen en fuentes accesibles al público.

Entrada anterior en la que explicaba la trascendencia de la anulación de este artículo.

Sentencia del Tribunal Supremo

Más opciones para el tratamiento de datos sin consentimiento

La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.

Consecuencias inmediatas

Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:

- La relación restrictiva de fuentes accesibles al público pierde relevancia.

- Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.

- Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.

- Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.

- Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.

- Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.

- Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.

El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.

Sentencia del Tribunal de Justicia de la UE

Nota informativa de la AEPD

Protección de datos: ¿vuelta a los 80?

No es nada nuevo reconocer que la protección de nuestros datos personales es algo que los ciudadanos de un país reclamamos cuando todas las necesidades que ocupan un lugar inferior en la pirámide han sido satisfechas. Ya lo dijo un cliente al ver las cargas que suponía la aplicación de la LOPD en su empresa: “¡Cómo se nota que estamos en el primer mundo!”.

Los periódicos de esta semana auguran un escenario de recesión, con un posible modelo de doble bache. Si ello se confirmase, ¿podríamos llegar a ver algunos cambios en la posición que ocupamos los ciudadanos del primer mundo en la pirámide de Maslow?.

Algunas preguntas que surgen ante esa posibilidad:

1. ¿Puede una situación de crisis continuada generar la necesidad en las empresas de recurrir a fórmulas de márketing directo que les obliguen a asumir mayores riesgos en materia de cumplimiento normativo?

2. ¿Cuál debería ser la reacción de los destinatarios de esas campañas de marketing que nos devolverían al escenario que teníamos en los 80, antes de la aprobación de la LORTAD? ¿Deberíamos responder a las campañas con denuncias o con solidaridad, aplicando un sentimiento casi “patriótico”, similar al de los anglosajones, para eliminar cualquier obstáculo a la recuperación económica de nuestro país?

3. ¿Cuál debería ser el papel de la AEPD? ¿Debería centrarse en los casos más graves y dejar los leves para tiempos mejores? ¿O por el contrario debería convertirse en un instrumento recaudatorio dirigido a la reducir el déficit en los Presupuestos Generales del Estado?

Zynga, Facebook y los nuevos modelos de negocio y marketing

La próxima salida a bolsa de Zynga, la empresa que desarrolla la mayoría de los juegos más populares de Facebook, parece consolidar una plataforma de negocio que también es apta para los nuevos formatos de publicidad, marketing y merchandising.

Aunque el nivel de popularidad de estos juegos es notorio, no fue hasta hace unos meses, en una sesión de trabajo con clientes en la que estábamos analizando el tipo de datos del perfil de Facebook a los que este tipo de aplicaciones pedían acceso, cuando vi que mis hijos ya eran usuarios avanzados de Farmville, una aplicación que te permite administrar un granja virtual.

El modelo de negocio de Zynga, que puede ser una pesadilla para los padres pero una gran oportunidad para el sector, consiste en que el usuario necesita comprar artículos virtuales (semillas, herramientas, vehículos, terreno) para progresar en el juego. A partir de aquí, no es necesaria demasiada imaginación para ver hasta dónde puede llegar en el futuro la explotación de estos recursos:

  1. Contrato de merchandising en relación a las marcas, productos y personajes que pueden adquirirse en el juego.
  2. Contrato de licencia en materia de propiedad intelectual e industrial para el uso de imágenes, diseños, marcas, etc.
  3. Contrato de publicidad contextual para que aparezcan anuncios relacionados con cada escenario en los espacios publicitarios del juego: vallas, autobuses, vídeos, diálogos…
  4. Contrato de behavioral targeting en relación al comportamiento y al perfil de los usuarios.
  5. Contrato de cesión de datos segmentados en función del perfil del usuario y de las preferencias demostradas a través de su comportamiento y los productos adquiridos en el juego. Como es natural, el usuario dede dar su consentimiento previo para que dicha cesión pueda realizarse.

También se plantean retos como la correcta información que debe suministrarse al usuario sobre el tratamiento de sus datos, el alcance y proporcionalidad de la recogida de datos, la prueba del contenido y de la aceptación de las condiciones generales de contratación, entre otros.

Con este modelo de negocio, Zynga facturó en 2010 cerca de 850 millones de dólares y obtuvo un beneficio neto de 400 millones de dólares. 

El mercado de los bienes virtuales, como los que pueden adquirirse en los juegos de Zynga, registró el año pasado un volumen de negocio de 9.280 millones de dólares. ThinkEquity prevé que lleguen hasta los 20.300 millones en 2014. 

Fundada hace tan sólo cuatro años por el emprendedor Mark Pincus, 247 millones de personas entran en Facebook cada mes para jugar a títulos creados por Zynga, según Expansión. Entre estos juegos figuran el ya mencionado Farmville, Cityville, Mafia Wars y Texas Holdem Poker.